http://www.lemagit.fr/conseil/GRPD-les-differentes-etapes-dun-projet-de-mise-en-conformite-pour-la-DSI?utm_medium=EM&asrc=EM_MDN_75080218&utm_campaign=20170403_GDPR%20:%20les%20diff%C3%A9rentes%20%C3%A9tapes%20d%E2%80%99un%20projet%20de%20mise%20en%20conformit%C3%A9%20pour%20la%20DSI%20-%20Sept%20fonctions%20%C3%A0%20consid%C3%A9rer%20pour%20bien%20choisir%20sa%20plateforme%20de%20collaboration&utm_source=MDN

Pour y voir plus clair dans le nouveau règlement européen sur la protection des données privées, l’avocat spécialisé François-Pierre LANI explique les points clefs à comprendre et à mettre en œuvre. Cette partie revient sur le déroulement concret d’un projet pour un DSI.
 
Cet article est le quatrième d’une série de cinq. Le premier a abordé les trois piliers du RGPD que sont l’« Accountability », la coresponsabilité et le « Privacy by Design ». ». Le deuxième a précisé quelles données et quelles entreprises sont concernées par le RGPD. Le troisième s’est penché sur les outils que l’on peut d’ores et déjà commencer à mettre en place pour atteindre la conformité.
 
La cinquième partie de cet entretien reviendra sur les opportunités et les menaces que le RGPD représente pour les acteurs français.
 
Venons-en au terrain. Quelle est la première étape d’un projet RGDP pour une DSI ?
L’opération essentielle et première – qui peut d’ailleurs s’étaler dans le temps – c’est un « recensement des opérations de traitements et de mise en œuvre dans l’entreprise ». En clair, on recense les opérations de traitement. Avant, quand on était soumis à un régime de déclaration et d’autorisation, ce traitement se faisait de façon assez classique. Aujourd’hui nous avons une méthodologie et des outils qui nous sont propres et nous identifions l’ensemble des flux des données personnelles. Puis nous faisons des entretiens dans lesquels on recense ces traitements et où l’on aborde la question de leur pertinence. C’est ce dont on parlait sur l’analyse d’impact.
L’idée est de dire « je fais ce traitement depuis longtemps mais je n’ai jamais évalué sa nécessité au regard des finalités poursuivies par ce traitement ». Donc on fait ce travail. Ce qui revient à détecter, d’un point de vue purement formel, des « zones de risques ».
Nous avons eu un cas intéressant dans un grand groupe côté au CAC 40 qui effectuait le traitement de données d’élus syndicaux en place mais également d’élus n’ayant plus de mandat.
 

Lire la suite pour en savoir plus